Gentoo Forums

Moin moin,

ich stelle diese Frage hier weil ich in den Kompetenz der Gentoo Community mit Abstand das meiste Vertrauen habe.

Mir ist es mal passiert, dass ich Discord testweise installiert hatte und kurz nach dem Start kam dann die Meldung, so ungefähr:

Hallo, ich habe die Passwortdatenbank deines Browsers durchsucht und leider keinen User für Discord gefunden. Bitte melde Dich neu an oder logge Dich ein, etc. blabal

Das hat mich dann doch schockiert, derweil vorher keine Frage um Erlaubnis gestellt wurde. So weit ich weiß ist Discord kein Open Source, was die Sache zusätzlich brisant erscheinen läßt. Was sagt Ihr dazu und wie handhabt Ihr das mit Discord?

Wait... What?
Das ist neu.

Ich persönlich speichere grundsätzlich keine Passwörter im Browser. Aber thunderbird hat die Passwörter für meine E-Mails, also etwas beängstigend.

Zum Login in Discord verwende ich gerne die QR-Code Variante vom Smartphone.

Hattest du die Discord App verwendet oder im Browser versucht?
Ich vermute aber dass Discord, da es ja auch "nur" eine dieser Chromium-Apps ist entsprechend nur in Chromium-Passwortspeicher suchen kann...
Hoffe ich zumindest.

Das war die App Variante, die hatte ich dann auch sofort wieder gelöscht. Allerdings passiert das auch nur genau 1-mal. Ich habe jetzt nach geschätzt 1,5 Jahren die App wieder installiert und so etwas kam nicht wieder hoch.

Ich wusste zwar das der Passwortspeicher des Webbrowser (so weit ich weis bei allen) von anderen Programmen relativ einfach ausgelesen werden kann und ich hatte Discord auch nie ein besonderes Vertrauen zugestanden aber...
WTF?!
So etwas hätte ich von einer Schadsoftware erwartet, offensichtlich muss diese "Anwendung" neu kategorisiert werden.

Was bin ich froh das meine Passwörter in einem Passwortmanager liegen dessen Inhalt ICH erst persönlich entsperren muss bevor es verwendet werden kann.

Vor ein paar Monaten habe ich darüber nachgedacht, mich bei Discord anzumelden. Allerdings ist es daran gescheitert, dass Discord ums Verrecken eine Telefonnummer "brauchte". Aus Security-Sicht kann ich es ein bisschen nachvollziehen, aber auch nicht wirklich.
Eigentlich wollte ich Discord nur als App auf dem Computer nutzen, um ab und zu mal zu chatten. Lustigerweise kann ich das angelegte Konto auch nicht deaktivieren/löschen, solange ich keine Telefonnummer angebe. Gut, von mir aus darf sich Discord der Hoffnung hingeben, dass ich eines Tages meine Telefonnummer doch noch herausrücken werde.

Zum eigentlichen Problem:
Vermutlich ist die Discord-App nur ein getarnter Webbrowser. Beim Start wird die App wohl geschaut haben, ob es bereits einen Access-Token gibt (und vermutlich nur bei deinem Standardbrowser). Diese Suche kann aus mehreren Gründen nicht erfolgreich sein und du wirst dann freundlich gebeten, dich auch bei der App zu authentisieren.

Auch wenn ich persönlich nichts mit Discord anfangen kann und auch nicht unbedingt den Eindruck habe, dass Discord eine "erhaltenswerte" Firma ist, glaube ich dennoch, dass Discord kein Interesse daran hat, liederlich mit deinen Personendaten umzugehen.

Es wäre natürlich schön, wenn man beim App-Start eine Erlaubnis geben müsste, um nach einem Access-Token zu suchen. Allerdings würde das wohl grosse Teile der Nutzerschaft verunsichern, weswegen man wohl darauf verzichtet.

Ich wurde nach eine Telefonnummer gefragt, als ich einem Server beitreten wollte. Ich probiere gerade das Spiel Valheim aus, was ich ganz interessant finde, bin aber der Meinung, dass man es im Coop mit anderen Leuten zusammen zocken sollte und es so wesentlich mehr Spaß macht. Von daher habe ich Discord wieder ausgegraben, da die ganzen Hardcorezocker eben dort tummeln. Aber mit closed source Anwendungen habe ich einfach schon meine Probleme. Kein Mensch weiß, was das Ding so macht.

Ich hatte das schon lange nicht mehr genutzt. Jetzt will das Ding mich zu einem Update zwingen, indem sich eine Fenster öffnet, das zum Download eine .dep oder .tat.gz Datei einlädt. Und man kann es nicht einfach schließen, man muß es killen wenn man gar nichts machen will.Solche Software liebe ich ja .. <Ironie off>

Erdie wrote:Ich hatte das schon lange nicht mehr genutzt. Jetzt will das Ding mich zu einem Update zwingen, indem sich eine Fenster öffnet, das zum Download eine .dep oder .tat.gz Datei einlädt. Und man kann es nicht einfach schließen, man muß es killen wenn man gar nichts machen will.Solche Software liebe ich ja .. <Ironie off>

Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen?

firefly wrote:Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen?

Letztlich ist es equivalent.
Aber die "standalone" Apps (hatten diese chromium-apps nicht noch einen anderen Namen? Irgendwas mit 'R'?) haben eine eigene Integrierung mit pipewire/libpulse zwecks Streamen von Bildschirminhalten, als auch eigene Audio/Video Einstellungen die vom Browser entkoppelt für Input und Output sind.
Außerdem muss man nicht den ganzen Browser mitstarten und es ist ein eigenständiges Fenster.

Also ja, hat Vorteile, aber ist letztlich nicht viel anders.

Alle Server von Discord werden von Discord gehostet. Also alles geht über deren Server, auch wenns ein persönlicher oder ein Gruppenchat ist.
Dafür können alle ihre eigenen Instanzen aufmachen.



Ich finds aber immernoch schade dass Teamspeak so in Vergessenheit geraten ist (von Mumble wollen wir mal lieber nicht reden). Die Möglichkeit einen eigenen Server zu betreiben hatte was. Entkopplung von "der Cloud", wenns irgendjemand ein Problem hat betrifft das mich nicht. und so weiter.

Ja, ich war lange in eine Hörspiel Community und dort wurde sehr lange Teamspeak verwendet. Irgendwann kam dann die jüngere Fraktion und warf den Vorschlag ins Feld doch Discord zu nutzen. Dann gab es lange Diskussion und letztendlich haben sich dann die Discorder durchgesetzt. Ich war auf der Teamspeak Seite, vor allem, weil die damalige Discord Version einen Bug hatte, durch den reines Alsa nicht mehr funktionierte und die Web Version war noch nicht vorhanden/ausgereift. Ich glaube, der ALSA Support funktioniert bis heute nicht. Da ich jetzt Pipewire nutze, ist das für mich nicht mehr relevant. Im Prinzip kann Teamspeak alles, was diese Yogies brauchen aber es ist eben nicht mehr sexy. Heute müssen es Massen von animierten, tanzenden Objekten sein, sonst wird es nicht akzeptiert.

firefly wrote:

Erdie wrote:Ich hatte das schon lange nicht mehr genutzt. Jetzt will das Ding mich zu einem Update zwingen, indem sich eine Fenster öffnet, das zum Download eine .dep oder .tat.gz Datei einlädt. Und man kann es nicht einfach schließen, man muß es killen wenn man gar nichts machen will.Solche Software liebe ich ja .. <Ironie off>

Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen?

Wie schon gesagt, im Grunde tut es auch die Browser Version. Vermutlich werde ich die Standalone auch wieder löschen. So eine Vorgehensweise ist einfach nicht akzeptabel. Die glauben wohl, dass jeder Nutzer einfach so überall und alles an seinem Paketmanager vorbei installiert und setzen das auch noch strict voraus. Vlt ist es ja in der Windows Welt so, kann schon sein oder hat sich das inzwischen geändert? Habe schon lange kein Windows mehr, in der Firma nutze ich einen Mac.

Erdie wrote:Vermutlich werde ich die Standalone auch wieder löschen. So eine Vorgehensweise ist einfach nicht akzeptabel. Die glauben wohl, dass jeder Nutzer einfach so überall und alles an seinem Paketmanager vorbei installiert und setzen das auch noch strict voraus. Vlt ist es ja in der Windows Welt so, kann schon sein oder hat sich das inzwischen geändert? Habe schon lange kein Windows mehr, in der Firma nutze ich einen Mac.

Vorallem dass die ihren Loader in einer Version haben und am Ende dann trotzdem noch local in den user-home weitere Programmteile hin runterladen... Aber egal. mich nervt das auch regelmäßig, in der Regel reicht da ein version-push aber ist halt regelmäßig und nervig. Ich habe für solche Spielereien inzwischen meinen eigenen lokalen in den ich solche Versionspushes mache.
Was ich noch lernen muss ist dann regelmäßig einen bug-tracker Eintrag. Das Problem hierbei ist aber dass ich nicht täglich update und somit davon ausgehe dass meine aktuelle Version nicht die aktuelle ist.

Edith:
Es gibt wohl einen user-related hack der diese "loader-version inkompatibel" Sache deaktiviert. https://bugs.gentoo.org/905289

Max Steel wrote:

firefly wrote:Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen?

Außerdem muss man nicht den ganzen Browser mitstarten und es ist ein eigenständiges Fenster.

Das Argument ist etwas schwach. Denn Chromium selbst ist zu 99% der Browser. Der rest ist nur eine UI darum.

Alternativ wäre die flatpak version. Bei flatpak kann man auch einiges an der sandbox drehen damit eine App so gut wie nichts am system machen kann.
z.b. kann man die flatpak sandbox so einstellen, dass eine flatpak app keinen Zugriff auf das host filesystem bekommt bzw. nur auf bestimmte Verzeichnisse.
Ich hab z.b. für skype, das ich beruflich nutzen muss, alle host filesystem zugriffe gesperrt.

Für kde plasma 5 gibt es kde-plasma/flatpak-kcm um solche Einstellungen bequem via einer UI einstellen zu können.

Abgesehen von Discord (kannte ich gar nicht …):

Wenn man seine Passwörter sicher speichern will, dann nimmt man pass. Exakt so würde ich es machen, wenn ich es selber machen würde. Ein Bash-Script, was meine Passwörter mit PGP verschlüsselt. Eine Datei pro Passwort. Kann auch mehrere Zeilen haben, man kann darin alles, was Text ist, speichern. Man kann es auf ein Git-Repository pushen (das kann ja auch gern öffentlich zugänglich sein, es landen ja nur PGP-verschlüsselte Dateien dort). Es gibt eine Android-App auf F-Droid. Wenn's GUI sein soll, gibt es QtPass. Für Firefox gibt es ein Plugin, mit dem man es direkt nutzen kann.

Ich nehme das für alles. Handy-PIN, -PUK, etc., Geheimzahl meiner EC-Karte, 2FA-Seed für KDE Identity (es gibt mit pass-otp ein pass-Plugin, um direkt 2FA-Tokens auszulesen. Das ebuild muss man aber patchen, damit bashcomp geht. Der Maintainer des ebuilds sieht nicht ein, dass er nicht recht hat ;-) … für alles. Funktioniert perfekt.